Stratégie

Cybersécurité et RGPD : le rôle du RSSI/CISO remis en question

Retrouvez cet article dans le CIO FOCUS n°150 !

Cybersécurité : nouvelles menaces, nouvelles solutions

Les RSSI réagissent-ils aussi vite que les hackers ? Cette question est posée. Et les participants à la conférence CIO du 21 Novembre 2017 y ont répondu en présentant les meilleures pratiques.Philippe Loudenot (Fonctionnaire de Sécurité des Systèmes d'Information, Ministères Sociaux), Stéphane...

Découvrir

---

Henri d'Agrain (Cigref), Mahmoud Denfer (Vallourec) et José Perez (Allianz) ont témoigné sur la conférence « Cybersécurité : nouvelles menaces, nouvelles solutions » organisée par CIO le 21 novembre 2017 à Paris.

PublicitéFace aux nouvelles cyber-menaces, il faut apporter de nouvelles solutions. A cela s'ajoute la difficulté d'une mise en conformité avec la nouvelle réglementation européenne sur les données personnelles, le GDPR. Au coeur de ces problématiques, il y a un poste : celui de RSSI (Responsable de la Sécurité du Système d'Information) ou de CISO (Chief Information Security Officer). L'évolution du rôle et du profil de ce poste a été le sujet de la deuxième table ronde de al conférence « Cybersécurité : nouvelles menaces, nouvelles solutions » organisée par CIO le 21 novembre 2017 à Paris.
Ont témoigné sur cette table ronde trois spécialistes. Le premier était Henri d'Agrain, Délégué Général du CIGREF, association regroupant 145 très grands comptes français mais aussi ancien dirigeant-fondateur du CHECy (centre des hautes études du cyberespace), ex-président de Small Business France et, auparavant, officier de marine responsable de sujets SI/Télécom. José Perez, RSSI de l'assureur Allianz France, et Mahmoud Denfer, Global CISO du producteur de tubes pour environnements contraints Vallourec, présent dans 23 pays avec 24 000 utilisateurs et 80 sites.

RSSI ou CISO, une fausse différence ?

Tout d'abord, de qui parle-t-on ? RSSI et CISO sont-ils bien la même personne, avec un acronyme français ou anglais ? « Mis à part la différence de langue, le terme CISO couvre une problématique plus ouverte que ce que couvrait au départ celui de RSSI, le CISO étant davantage tourné vers une problématique métier et le RSSI plus vers de l'opérationnel » a estimé Mahmoud Denfer. Mais il a aussitôt nuancé : « cette différence n'existe plus aujourd'hui ».
Dans une entreprise industrielle présente dans des pays comme la Chine ou la Russie, telle que Vallourec, la sécurité informatique représente des défis particuliers. La conformité réglementaire et la culture de la protection de l'information varient beaucoup d'un pays à l'autre, sans négliger, parfois, l'impact d'influenceurs officiels ou militants, de secteurs d'activité, etc. « Il y a parfois des trains de mesures que nous sommes amenés à prendre mais qui peuvent être en contradiction les uns avec les autres » a relevé Mahmoud Denfer.

Gérer les risques avec le DSI

« Trop longtemps, le RSSI a été vu comme Dr No, c'est à dire celui qui dit non, mais plus vous bloquez quelque chose plus on voudra contourner l'interdiction et passer par ailleurs » a observé quant à lui José Perez. Le métier trouve toujours une réponse à son besoin. Et, le cas échéant, cela signifiera une situation totalement hors de contrôle avec du shadow IT. José Perez en a déduit : « il vaut donc mieux accompagner qu'interdire. » Les contraintes réglementaires interpellent cependant tous les métiers : dans une entreprise de plus de 110 milliards d'euros de chiffre d'affaires, une amende de 4 % pour non-conformité RGPD fait rapidement une jolie somme (4,5 milliards d'euros). Du coup, les RSSI sont sollicités par tous. Traiter les données client de manière un peu cavalière n'est plus acceptable et les métiers en sont bien conscients.
Les entreprises membres du Cigref, très grands comptes, ont toutes les mêmes préoccupations. Au sein de l'association, DSI et RSSI sont amenés à travailler ensemble sur cette problématique de sécurité. « Evidemment, les DSI sont directement concernés par la sécurité du SI ; la plupart sont membres du ComEx et sont challengés par le Conseil d'Administration » a insisté Henri d'Agrain. Les DSI doivent rendre des comptes sur cette question alors même que la transformation numérique est au coeur de la stratégie des grandes entreprises. La préoccupation de conformité réglementaire est aussi un sujet pour le Conseil d'Administration et le RGPD est évidemment dans le viseur actuellement. Le Cigref, l'AFAI et Tech'In France ont d'ailleurs récemment publié un vademecum sur le GDPR.

PublicitéLa sécurité à l'ère du Digital

Au sein du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), un club de RSSI, les travaux autour de ces sujets sont encore plus centraux. « Et on peut y confronter les approches de différentes entreprises ou de différents secteurs » s'est réjoui Mahmoud Denfer. Parmi les thèmes très actuels, il y a bien sûr le « digital ». Celui-ci vient s'ajouter, avec sa dimension nécessairement agile, à un système Legacy plus lourd. Protection des données, protection du patrimoine, mais aussi élimination des silos : le digital doit atteindre tous ces objectifs.
« Aujourd'hui on ne sécurise plus un logiciel unitairement mais un produit final délivré » a jugé Mahmoud Denfer. Toutes les équipes liés à un projet sont désormais en charge de la sécurité. Et le RSSI/CISO se retrouve davantage comme un expert et un conseil que comme une autorité. Il est là pour amener un partage des leçons dans des contextes variés (par exemple, les quantités de données et les traitements ne seront pas les mêmes entre B2B et B2C) pour les appliquer de manière pertinente dans chaque cas. Mahmoud Denfer a observé : « si une donnée n'est pas sécurisée, cela peut prendre des proportions importantes... »

Les postures, ennemies des RSSI

« Malheureusement, malgré les postures prises sur la nécessité de détecter les risques dès le départ des projets, on continue de saisir le RSSI à la fin... » a soupiré José Perez. Grand optimiste, il continue de croire que les bonnes pratiques seront un jour adoptées. Cela dit, les projets amenés en fin de course au RSSI prennent tout de même en compte, aujourd'hui, la préoccupation de sécurité. José Perez a soupiré : « on peut alors en général redresser l'arbre qui partait du mauvais côté. » Et de plus en plus de projets sont menés en intégrant la préoccupation de sécurité dès l'origine. « Ce n'est plus le RSSI qui amène la contrainte mais les porteurs du projet qui la font leur » s'est-il réjoui. Pour José Perez, il faut savoir expliquer aux métiers que tout ce qu'ils veulent faire est parfaitement possible tout en étant totalement sécurisé pourvu que l'on prenne les précautions nécessaires.
Alain Bouillé, président du CESIN et Grand Témoin de la Matinée, a conclu la table ronde et la conférence. Il s'est notamment réjoui de l'entrée du sujet de la cybersécurité au Comité Exécutif mais cela suppose pour le RSSI d'un côté d'adopter un discours orienté business mais, de l'autre, de rester profondément un technicien, un expert de la sécurité. Cette expertise est particulièrement nécessaire pour bien décrypter les contrats avec les prestataires cloud sur le plan de la sécurité.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article